CIFSwitch: vulnerabilidad del kernel de Linux de 19 años de antigüedad expone sistemas al acceso de root

Se ha publicado código de prueba de concepto (PoC) para la vulnerabilidad CIFSwitch, que permite a usuarios con pocos privilegios obtener acceso de root en sistemas Linux vulnerables.

Una vulnerabilidad del kernel de Linux de 19 años de antigüedad, denominada CIFSwitch, permite a usuarios con pocos privilegios obtener acceso de root a través del subsistema CIFS y la utilidad cifs-utils. La vulnerabilidad surge de que el kernel no valida el origen de una llamada a request_key, lo que permite a los atacantes eludir las restricciones y ejecutar código arbitrario como root.

CIFSwitch (CVE-2026-46243) es una vulnerabilidad de explotación local , descubierta mediante el uso de modelos de lógica de bajo nivel (LLM). El problema afecta a varias distribuciones de Linux, en particular a aquellas con cifs-utils instalado por defecto. Las principales distribuciones han publicado parches y se ha publicado código de prueba de concepto para facilitar la validación. Algunas distribuciones de Linux Mint, CentOS, Rocky Linux, Kali Linux, AlmaLinux y SLES SAP que tienen cifs-utils instalado por defecto son vulnerables. Algunas distribuciones son vulnerables solo si cifs-utils se instaló manualmente.

El aviso ya es público para que los propietarios de los sistemas afectados puedan aplicar el parche o implementar otras medidas de mitigación. Las principales distribuciones de Linux lanzaron correcciones para este defecto de seguridad. Asim Viladi Oglu Manizada ha publicado código de prueba de concepto (PoC) para ayudar a los defensores a "validar parches, mitigaciones, detecciones y exposición".

CIFSwitch afecta al subsistema CIFS del kernel de Linux y a la utilidad de espacio de usuario cifs-utils que utiliza para gestionar la autenticación. CIFS gestiona partes del protocolo del sistema de archivos de red SMB, como el montaje de recursos compartidos, las operaciones de lectura/escritura y la comunicación SMB con el servidor.

Al autenticar un montaje, el subsistema envía una solicitud request_key para obtener una clave cifs.spnego. Esta solicitud verifica la clave en el espacio de usuario y llama a cifs.upcall como administrador para analizar la descripción de la clave, que contiene campos como UID, PID, caché de credenciales y espacio de nombres.

Según Asim Viladi Oglu Manizada, ingeniero de seguridad de SpaceX, el kernel no verifica el origen de la solicitud ni la descripción de la clave, lo que permite a un atacante llamar directamente a la función `request_key` y proporcionar sus propios campos de descripción de clave, eludiendo así el origen de CIFS. Dado que `cifs.upcall` se llama como root, el proceso auxiliar cambia a los espacios de nombres del PID proporcionado en la descripción de clave modificada, otorgando al atacante acceso de root.

Además, durante la operación, antes de que se reduzcan los privilegios, el proceso auxiliar también realiza una búsqueda de cuenta, que pasa por el Name Service Switch (NSS) y habilita la carga de módulos NSS.

El atacante puede aprovechar esta vulnerabilidad colocando un archivo de configuración NSS falso y un módulo NSS en su espacio de nombres, lo que provoca que el proceso auxiliar cargue el código controlado por el atacante como root, explica Manizada.

Según el ingeniero, la vulnerabilidad se puede resolver considerando legítimas las descripciones de claves solo cuando CIFS utiliza su spnego_cred privado, e implementando medidas de seguridad en el espacio de usuario para verificar si la descripción de la clave es generada por el kernel.

Muchas distribuciones de Ubuntu, Fedora, CentOS, Rocky Linux, AlmaLinux, Oracle Linux, openSUSE y SLES bloquean la ruta de ejecución por defecto, mientras que Amazon Linux 2 KVM y Kali Linux 2019.4/2020.4 no se ven afectadas.

Fuente: THN

Suscríbete a nuestro Boletín